行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
行为管理AC 文档 典型案例 场景案例 办公出口上网场景
{{sendMatomoQuery("行为管理AC","办公出口上网场景")}}

办公出口上网场景

更新时间:2022-01-17

需求背景

某公司租用了一条20Mb/s电信线路,内网有500名上网用户,为了保证内网安全方便管理员管理,员工需要通过AD域账号密码做身份认证后才能使用内网资源。而管理员在上班时间段发现很多市场部人员经常使用P2P下载工具进行下载,占用了大部分带宽,影响了其他部门的正常的办公业务,公司希望通过将市场部的这部分数据占用的带宽限制在2Mbps之内。同时根据公司业务需求,要保证财务部门访问网上银行网站和收发邮件的数据,在线路繁忙时所拥有的带宽不能小于2Mbps,但最大不能超过5Mbps。为了保证内部知识产权的安全,公司禁止员工在内网环境下访问微博以及其他论坛等应用,同时还需要审计员工外发邮件内容。

需求分析

根据该公司的上网需求,可以在全网行为管理上开启Portal认证功能,在用户入网前结合企业AD域来做Portal认证核实接入网络员工的身份信息。为了限制市场部人员的P2P下载流量,可以通过AC流量管理模块的流控策略对这部分数据做限制,同时也可以通过流控策略保障公司财务部的带宽资源。通过AC的访问权限策略,禁止员工在内网环境下通过微博和论坛发帖,最后再通过SSL解密策略识别邮件内容。

配置步骤

1、为了获取员工AD域身份信息,需要先在AC的[接入管理/接入认证/Portal认证/认证服务器]栏对接公司的AD域服务器。

2、在认证服务器点击<新增>按钮,选择[LDAP服务器]对接公司的AD域服务器。在对接时需确认公司的AD域服务器是否开启了加密传输,如果有请勾选[加密选项]并导入相关证书,最后再测试有效性。(本示例中域名为damian.com,请参考修改相关信息)。

3、在AC的[接入管理/接入认证/Portal认证/认证策略]栏点击<新增>按钮,配置portal认证策略。

4、在认证策略点击<新增>按钮,在弹出的[认证策略]框中填写策略名,在[认证范围]的适用范围填写内网用户网段,在[认证方式]中选择“密码认证”并在认证服务器栏内勾选对接好的公司AD域。最后点击<提交>即可。

5、配置流控策略,限制市场部P2P下载流量,在AC的[流量管理/虚拟线路配置]页面点击<新增>按钮,配置一条与公司出口线路带宽一致的虚拟线,用于对应出口线路。

注意:
虚拟网线配置在网桥模式才会默认显示这个节点,路由模式要开启虚拟线路模式才显示。

6、在AC的[流量管理/流控策略]页面点击<新增通道/新增一级通道>按钮,添加一条流量一级通道。在[新增一级通道]的配置界面填写好[通道名称],在[带宽通道设置]栏中的[生效线路]栏选择前文新建的对应出口线路的虚拟线路名,勾选[限制通道]并按照公司要求填写相应的带宽值,因为是限制P2P下载的流量最后需要勾选[抑制P2P下载丢包]。

7、在[新增一级通道]的配置界面选择[通道使用范围]栏。在[适用应用]栏选择自定义再勾选所有的P2P应用,在[适用对象]栏选择自定义勾选好市场部人员。最后点击<确定>提交策略。

8、在AC的[流量管理/流控策略]页面点击<新增通道/新增一级通道>按钮,添加一条流量一级通道。在[新增一级通道]的配置界面填写好[通道名称],在[带宽通道设置]栏中的[生效线路]选择对应出口线路的虚拟线路名,勾选[保证通道]并按照公司要求填写相应的带宽值。

9、在[新增一级通道]的配置界面选择[通道使用范围]栏。在[适用应用]栏选择自定义再勾选邮件和网上银行应用,在[适用对象]选择自定义勾选好财务部部人员。最后点击<确定>提交策略即可。

10、配置访问权限策略和SSL解密策略。在AC的[行为管理/访问权限策略]页面点击<新增/访问权限策略>按钮,添加一条访问权限策略。在[访问权限策略]的配置界面填写好[策略名称],勾选[策略设置]栏的[应用控制],点击<应用控制>界面的<新增>按钮,在弹出的[选择适用应用]界面勾选微博以及论坛的全部内容。

11、然后点击[适用对象]栏勾选所有用户,最后点击右下角的<提交>保存。

12、AC的[行为管理/访问权限策略]页面点击<新增/SSL解密策略>按钮,添加一条SSL策略。

13、在[SSL解密策略]的配置界面填写好策略名称,在解密方式栏依据用户的实际环境选择中间人机密或者客户端代理解密。

14、为了防止员工使用Web邮箱外发机密文件,需要勾选[加密WEB应用内容识别],然后再勾选[加密邮件内容识别]功能。

15、最后点击[适用对象]栏勾选所有用户。配置完成后点击右下角的<提交>保存。

注意:
证书无效浏览器告警的话需要在浏览器导入根证书。通常使用场景是通过域统一推送。

效果预览

Portal认证未通过认证前。

使用域账号通过认证后。

禁止访问微博和其他论坛。

邮件内容识别。